Betabot木马利用Office漏洞大规模肆意传播

  • Betabot木马利用Office漏洞大规模肆意传播已关闭评论
  • A+
所属分类:网络安全新闻

Betabot木马正在传播多阶段攻击,首先恶意Office文档试图利用17年前的漏洞。

Betabot是一种恶意软件,从银行木马演变为密码窃取者,然后是能够分发勒索软件和其他恶意程序的僵尸网络。尽管可以在地下市场上以120美元左右的价格购买,但在2017年初也观察到了恶意软件的破解版本。

Betabot木马利用Office漏洞大规模肆意传播

最近发现的攻击从一个试图利用CVE-2017-11882的Word文档开始,该文件是2000年11月在Microsoft公式编辑器(EQNEDT32.EXE)组件中引入的一个漏洞。仅在去年发现,该安全错误是由微软在2017年底手动修补的。

作为此攻击的一部分,actor将OLE对象嵌入到特制的RTF文件中,以便在受害者系统上执行命令。嵌入对象(i nteldriverupd1.sct,task.bat,decoy.doc,exe.exe和2nd.bat)构成合法软件以获得预期受害者的信任。

该inteldriverupd1.sct 文件利用Windows脚本组件,并创建一个新的对象,其未来运行task.bat 脚本来检查block.txt 在临时目录中的文件,如果不存在,创建该文件,并启动第二。蝙蝠在删除之前。

该2nd.bat 脚本启动主exe文件,并杀死了文字处理,然后删除弹性目录从注册表来隐藏其踪迹,并防止文档的恢复。该脚本还会删除其他存在轨道。感染后,Decoy.doc 会显示给用户。

安全研究员Wojciech 透露,在执行时,观察到威胁连接到hxxp:// goog [。] com / newbuild / t.php?stats = send&thread = 0 。

用C#编写的exe.exe 文件显示了多层模糊处理,第一层是DeepSea算法,接着是简单的XOR和模操作。反混淆揭示了一个新文件,其资源中包含许多嵌入式图像。这些用于下一阶段。

接下来,研究人员发现了一个具有加密字符串的.Net文件。此图层旨在解密另一个文件并将其存储在字典中,并提供与恶意软件配置相关的其他信息。为此,它从资源中检索所述图像,将它们更改为内存流,解密它们,并将它们添加到字典中。

在执行期间,威胁还会检查字典中的配置并调用相应的函数。这些功能允许它检查它是否在虚拟环境中运行并将其自身复制到开始菜单。

在攻击的最后阶段,部署了一种新的Betabot变体。该示例包含一些反调试和反虚拟化技巧,然后启动与域的通信,可能用于跟踪目的。研究人员还注意到使用所述跟踪值的一些重定向,可能意味着从联盟计划中赚取一些额外的钱。

CE安全网